WP[至急]: WordPress 2.1.1 は危険、2.1.2 へアップグレードを
About This Article
Responces:
- No Responses yet
- コメントをどうぞ
- Trackback URI
- RSS 2.0: 更新情報
- RSS 2.0: Comments
3月2日、本家開発ブログでセキュリティアナウンスがありました。
本家で公開されていた 2.1.1 のダウンロードファイルがクラッカーにより改竄され、セキュリティホールが含まれる可能性があるそうです。安全のため 2.1.1 自体を危険扱いとしたとのこと。
- 2.1.1 ユーザは、至急 2.1.2 へアップグレードしてください。
緊急リリースですが、作業は慌てず慎重に行ないましょう。
バックアップ漏れ・上書き漏れのないように。また、自分のデータ・カスタマイズを失わないようにご注意を。 - 改竄されたのは 2.1.1 だけなので、2.0.x 系は大丈夫とのことです。
- お知り合いが 2.1.1 をお使いでしたら、公式アナウンスと taiさんのページを教えてあげてください。
- WordPress を使ったレンタルブログ(ってあるのかな?WordPress.com みたいなの)のユーザであれば、2.1.1 が使われていてサービス提供側からまだアナウンスがなければ、この件を連絡してみるといいかもしれません。
- ME 2.1.1 は、
本家のファイルを取得したのがいつか分からないですね。どうしたらいいかな。。
→ 追記 WPJ よりアナウンスありました。
関連リンク:
- WordPress › Blog » WordPress 2.1.1 dangerous, Upgrade to 2.1.2
- Standing Tall » WordPress 2.1.1は危険です、2.1.2にアップグレードしてください
- WordPress Japan DB » [重要] 2.1.1 の危険性について new
- :: plasticdreams :: » WordPress 2.1.1 dangerous, Upgrade to 2.1.2 の邦訳 new — 全訳ありがとうございます。
- ITmedia News:WordPressのソースコードに不正改ざん、クラッカー侵入が原因 new
アナウンスの内容
冒頭の和訳 by taiさん:
Long story short: If you downloaded WordPress 2.1.1 within the past 3-4 days, your files may include a security exploit that was added by a cracker, and you should upgrade all of your files to 2.1.2 immediately.
手短に言うと:もしWordPress 2.1.1をここ3、4日の内にダウンロードしたのなら、そのファイルにはクラッカーによって加えられた安全上の脆弱性が含まれるているかもしれないので、至急すべてのファイルを2.1.2にアップグレードしてください。
Standing Tall » WordPress 2.1.1は危険です、2.1.2にアップグレードしてください
続きを読んだのですけれども、私の英語力だと不正確なので、ポイントだけメモ。
所々飛んでたりとかなり半端です。ごめんなさい。。orz
(注)以下は誤訳の可能性があるので、引用・転載はしないでください。
今朝、セキュリティメーリングリスト宛てに、セキュリティホール(クラッカーの攻撃対象)となりうるコードが WP に存在すると連絡がありました。確認したところ、2.1.1 のダウンロードファイルがオリジナルコードから改変されていることが判明。詳細を調査するために、急遽ウェブサイトを削除(閉鎖?)しました。
(クラッカーが wordpress.org にアクセスして 2.1.1 ダウンロードファイルを改変、リモートからの PHP の実行を許可するコードを WP の 2つのファイルに埋め込まれたようですが、技術的なことは正確な方がいいのでこのあたりは略。)
2.1.1 の全てのダウンロードに影響があるわけではありませんが、私たちはバージョン全体を危険であると宣言し、マイナーアップデートと完全に検証されたファイルを含む新バージョン 2.1.2 をリリースします。二度とこのようなことが起きないよう、たくさんの措置も施しました, not the least of which is minutely external verification of the download package so we’ll know immediately if something goes wrong for any reason.
Finally, we reset passwords for a number of users with SVN and other access, so you may need to reset your password on the forums before you can login again.
What You Can Do to Help
もしあなたのブログで 2.1.1 を使っているなら、至急アップグレードして、古いファイル、特に wp-includes のファイルは、全て上書きしてください。あなたの友人のブログも確認して、2.1.1 のところがあれば連絡をして、できればアップグレードを手伝ってあげてください。
もしあなたがウェブサーバやネットワークの管理者ならば、“theme.php” と “feed.php” へのアクセスと、それに “ix=” か “iz=” の付いた query string をブロックしてください(ここ違うかもです。原文参照)。あなたがウェブホスト(レンタルサーバ)の顧客(ユーザ)ならば、このリリースと上記アナウンスについて(管理者へ)連絡するといいかもしれません。
(ここの原文: If you are a web host or network administrator, block access to “theme.php” and “feed.php”, and any query string with “ix=” or “iz=” in it. If you’re a customer at a web host, you may want to send them a note to let them know about this release and the above information.)
この問題の解明と処置のために徹夜で作業してくれた Ryan と Barry, Donncha, Mark, Michael, Dougal に感謝します。そして、最初にこの問題を知らせてくれた Ivan Fratric にも感謝を。
Questions and Answers
Because of the highly unusual nature of this event and release, we’ve set up an email address 21securityfaq@wordpress.org that you can email questions to, and we’ll be updating this entry with more information throughout the day.
ver. 2.0 への影響は?
2.1.1 以外に改竄されたダウンロードファイルはありませんので、あなたが 2.0 のバージョンをダウンロードしたなら大丈夫です。
What if we update from SVN?
Nothing in the Subversion repository was touched, so if you upgrade and maintain your blog via SVN there is no chance you downloaded the corrupted release file.